Das Bundesamt für Verfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik warnen in einem gemeinsamen Sicherheitshinweis vor russischen Cyberakteuren, die gezielt ungeschützte Photovoltaikanlagen ausspähen. Im Fokus stehen Monitoring-Systeme, die auch einen steuernden Zugriff erlauben.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenDie Cybersicherheit privater Solaranlagen wird damit zur Frage der nationalen Sicherheitslage. Betroffen sind vor allem Anlagen von Privatpersonen und Genossenschaften ohne energiewirtschaftlichen Hintergrund.
Das Wichtigste in Kürze
- BfV und BSI veröffentlichten am 3. Juni 2026 einen gemeinsamen Sicherheitshinweis zu ungeschützten Photovoltaikanlagen.
- Russische Cyberbedrohungsakteure klären laut den Behörden aktiv PV-Anlagen auf, die ungeschützt mit dem Internet verbunden sind.
- Bei betroffenen Anlagen können Dritte teils ohne Zugangsdaten auf das System zugreifen, die Softwarestände sind oft stark veraltet.
- Im Fokus stehen Monitoring-Systeme, die nicht nur Daten anzeigen, sondern auch steuernden Zugriff auf die Anlage erlauben.
Worauf zielen die Angreifer?
Moderne Solaranlagen hängen über Wechselrichter und Monitoring-Systeme dauerhaft am Internet. Das ist praktisch für die Fernüberwachung per App, schafft aber eine Angriffsfläche. Die Behörden berichten, dass Angreifer gezielt nach Anlagen suchen, deren Steuerung offen erreichbar ist.
Besonders heikel ist der steuernde Zugriff. Bei betroffenen Anlagen können unbefugte Dritte teils ohne den Einsatz von Zugangsdaten auf das System gelangen. Hinzu kommt, dass die Softwarestände in Teilen stark veraltet sind, weshalb von relevanten Schwachstellen auszugehen ist. Betreiber sind dem Hinweis zufolge eher Privatpersonen oder Genossenschaften ohne energiewirtschaftliches Fachwissen.
Der Hinweis reiht sich in eine längere Sorge des BSI ein. Die Behörde warnt seit Jahren vor Risiken vernetzter Energieanlagen, weil ein koordinierter Zugriff auf viele Anlagen das Stromnetz destabilisieren könnte. Neu ist die konkrete Zuordnung zu staatlichen Akteuren und einer laufenden Aufklärung.
Eine Solaranlage auf dem Dach ist heute ein vernetztes Steuergerät, kein stummes Modul. Wenn ein Nachrichtendienst gezielt nach offenen Anlagen sucht, ist das Heimnetz die neue Frontlinie der KRITIS-Debatte.
— Markus Seyfferth, Chefredakteur Dr. Web
Was sollten Betreiber und Unternehmen tun?
Trennen Sie das Netzwerk Ihrer Solaranlage möglichst vom übrigen Heimnetz und sorgen Sie dafür, dass das Monitoring-System nicht ungeschützt aus dem Internet erreichbar ist. Spielen Sie verfügbare Firmware-Updates ein, denn veraltete Softwarestände sind laut den Behörden ein Kernproblem. Vergeben Sie sichere, individuelle Zugangsdaten statt der Werkseinstellung.
Für Stadtwerke und gewerbliche Betreiber verschärft der Hinweis die Pflichten aus NIS2 und dem KRITIS-Dachgesetz. Prüfen Sie, ob Ihre PV-Komponenten als kritische Infrastruktur einzustufen sind und ob Ihr Patch-Management die neuen Anforderungen erfüllt. Die Bedrohung durch staatlich gesteuerte Angriffe ist kein abstraktes Szenario mehr, sondern Teil des aktuellen Lagebildes.
Mehr Newshunger?
